第二次参加美亚杯，假期有时间正好好好总结一下，写完资格赛wp

检材情况和案情

需要用到的工具：

取证大师 x-way vm

感想

赛前由于容器密码的问题折腾了好久，被恶心到了，两个小时做完整个资格赛的题目的是很有难度的需要赛前对整个检材情况进行一定的梳理，做好安排。还有就是港式中文的问题，需要结合实际灵活理解。这次的手机取证也跟以往不同，不需要单独进行提取，主办发给了一个读取器，直接使用reader读取就行了，看不惯英文的可以修改语言设置改成中文。

wp

1. [单选题] 工地主管电话的微信账号是什么? (1分)

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

对于这个题目，当时做题的时候我们认为WhatsApp可能是港版的微信，当时就选择了WhatsApp的id号，但是真实的情况好像不是这样，嫌疑人手机里面是没有微信的官方也没有给出答案，这里推测可能是题目出现了问题。

2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DFO99

对于隔空投送装置，是苹果手机里面的一个功能，主要用于传送文件，感觉类似于qq的面对面快传。

AirDrop ID 这个就是隔空投送装置的id

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

到位置信息中进行查看，可以找到相关的经纬度信息。

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

a项

b项

c项

d项在系统安装程序中搜索没有找到相应的结果

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

SAFARI

分析其浏览器日志记录即可发现

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

在聊天记录中即可找到相关的聊天信息

8.[填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

这次美亚杯对手机取证最大的问题，就是缺乏对手机相关的取证，缺乏对相关信息到数据库中查看的一种意识。这个题目就是找到WhatsApp的数据路径然后进入其中查看。

进入相关的路径查找对应的表单

黑名单所存储的表单没有找到任何数据，所以黑名单的中的人数为0.

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

也是到数据库中进行查看。

找到其对应的路径

到对应的路径即可找到对应的udid

资格赛关于工地主管的电话的一些信息的提取已经结束了接下来的题目是对工地主管的pc的一些内容的取证。

10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

保存

对于这个题需要结合实际的案列来进行分析了，工地主管遭遇了黑客的勒索软件攻击。某个分区被bitlocker加密。按照我们的固定思维肯定是从被加密的电脑中进行关键字搜索bitlocker 查找相关的加密文件。但是这里是被勒索软件攻击，黑客不会傻到把解密的秘钥放到受害者的电脑里面，所以这里要从另外一个方面来入手，黑客的ftp服务器入手。ftp服务器主要是就是用来储存一些文件的，黑客肯定会把相关的文件存储到该服务器中，所以这里要换个思路了。

在黑客阿力士的ftp服务器中找到了三个bitlocker解密的秘钥

根据两者对应起来分析可以确定bitlocker的解密标识符和解密秘钥

36EBC180-95F7-41FF-BE5B-4E56E7AF48B1

Bitlocker的解密标识符。

11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

ALEX

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

根据工地主管手机的聊天记录

确定其id为437270306

13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)

420190768

根据工地主管pc上的连接记录即可确定。

14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)

A. tiktok

B. web whatsapp

C. facebook

D. lihkg

E. hkgolden

F. web wechat

分析其浏览其的关键词搜索记录

15.[填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

00331-10000-00001-AA962

16.[填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

这个题人都找麻了没有找到相关信息

17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

A. 用户名称: PC1

B. 用户名称: PC2

C. 用户名称: PC3

D. 用户标识符: 0x000003E7

E. 用户标识符: 0x000003E8

F. 用户标识符: 0x000003E9

其用户对应的标识符为1001

18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

A. Chrome

B. Firefox

C. Safari

D. 以上皆否

仿真进入计算机可以直接看到呜呜我的仿真软件过期了展示不了了

19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

保存

40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

路由器日志分析

20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

A. 192.168.40.128

B. 192.168.40.129

C. 192.168.40.130

D. 192.168.40.131

E. 192.168.40.132

逐一进行搜索

21.[填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)

根据工地主管电脑中的ftp软件filezilla

到路由器的日志中搜索

找到了下载的记录和对应的ip地址

49.12.121.47

22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

A. IP地址: 2*.2*.2*.114

B. IP地址: 8*.8*.1*.20

C. IP地址: 1*.1*.0*.13

D. 端口: 21

E. 端口: 80

搜索关键字 ftp传输文件常用的端口为21

直接搜索关键字

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

A. destination

B. ICMP echo request

C. inside

D. outside

E. 以上皆是

网络的基本知识了，outside 表示外网地址，inside 表示内网地址，destination 表示目标地址， ICMP echo request 是 ICMP 回应请求报文（Ping 指令可以产生）。

此题是多选可以直接选择ad选项了

24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)

A. 110.152.0.14

B. 52.152.117.114

C. 180.152.0.13

D. 83.26.80.131

这里需要了解一个常识teamviewer（看大佬wp发现的）使用53和5938端口， teamviewer运行的最开始,会用53端口解析teamviewer的一个域名,由此得到服务器IP,然后用5938端口实现远程连接、文件传输等。直接搜索对应端口

25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

A. 09:31, 09:37

B. 0933, 09:39

C. 10:29, 10:36

D. 10:40

E. 10:42

根据上题的ip 查看其对应的时间即可找到

26.[填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答)

根据之前对teamviewer的连接数据包分析

可进一步查看黑客通过远控软件控制了公司的多少电子器材

控制了3台电脑

对于路由器的解析over，总结起来还是要下来总结一下一些常见远控软件，ftp软件和一些软件常见的端口和数据包特征

阿力士iPhone 12 pro分析

27. [多选题] 阿力士iPhone 12 pro电话于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007.HEIC

在阿力士的手机当中逐一搜索文件名

都能在手机里面找到，答案不是特别确定，后来查了一下被分享过的图片会生成不带元数据的缩略图

过滤找一下不带有元数据的图片

对比之前的图片可以确定选a项

Get到一个新技巧了

28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

有两张完全相同的图看了其他人的解析，比较赞同为了分享给其他人修改了时间所以有两张雷同的照片。

29.[填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入":") (2分)

百度了一下媒体访问控制地址就mac地址 GSM地址

推测应该是这个

30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

A. 6位阿拉伯数字密码

B. 4位阿拉伯数字密码

C. 图形密码

D. 以上皆非

找到苹果的备份文件，里面的plist文件详细的记录了，需要使用plist编辑器进行查看。ios版本信息，imei，和一些关于一些程序的相关记录。

Info.plist 记录了ios的版本，型号，备份日期，等

找到记录密码的键，WasPasscodeSet

它的值为false，所以其并没有设置密码

31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0012.HEIC

D. IMG_0009.HEIC

逐一在手机当中进行查找只有0012在手机中没有找到

32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

A. Chris’s MacBook Pro

B. Chirs’s iPhone

C. Chirs’s Computer

D. Chirs’s Linux

33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)

A. 2021年10月21日 00:58:01

B. 2021年10月21日 08:58:01

C. 2021年10月21日 00:58:29

D. 2021年10月21日 08:58:29

阿力士的iPhonexr

34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)

A. 此对话被Kariser Lee删除

B. 此对话的附件为一张图片文件

C. 此对话被Alex Chan 删除

D. 此对话是引用Alex Chan 回复

35.[填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分

10个

36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

A. 储存在不同的.db 里

B. 有不同哈希值

C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)

常识题，iphone手机当中d项无法确认其是否开启。

37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

根据上一题当中对应的图片的路径，找到所对应的图片，查看其相关信息

相片的拍摄机器为iPhone12pro，但是这里的手机为iphonexr，所以可以推断这张图片是由其他设备传输过来。

38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

A. Ac19851016

B. Alex1985!

C. Aa475869!

D. 以上皆非

在分析当中的数据中，备忘录也是一个极其重要的部分，毕竟现在人们要用的各种程序很多，人们需要设置很多密码。备忘录是用来存储密码的常用方式，总结下来分析的过程中还是需要注意这些敏感的地方。

39.[填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

用户策略里面直接搜索

40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

A. 2021-10-21 17:51:38(UTC+8)

B. 2021-10-21 18:02:13 + (UTC+8)

C. 2021-10-21 09:51:38(UTC+8)

D. 2021-10-21 10:02:13 + (UTC+8)

41.[填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”)

分析其中的xml文件

42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

A. 85260617332@s.whatsapp.net

B. 85260452579@s.whatsapp.net

C. 85248791565@s.whatsapp.net

D. 85264630956@s.whatsapp.net

选ad 这是一个推销的群

43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)

A. Aa475869!

B. Bb475869!

C. Cd475869!

D. 以上皆非

找到登录网站的记录得到登录网站的用户名

密码太多了谁也记不住备忘录是个好东西分析备忘录得到登录密码。

44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

A. 远程操控

B. 特洛伊木马程序

C. 勒索软件

D. 恶意软件

Teamviwer是一个远程控制软件

45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)

A. 于2021年10月18日 10时36分

B. 于2021年10月18日18时36分

C. 于2021年10月18日6时53分

D. 于2021年10月18日18时42分

46.[填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号) (2分)

218.255.242.114

47.[填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

查看登录信息，可以得到在这段时间计算机被登入了28次

48.[填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号) (2分

49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)

之前的美亚杯也考察过

用x-way打开镜像

这个路径：

3\System Volume Information\SPP\OnlineMetadataCache

VolumeID: {9705c469-7dca-4d55-ae76-7481b9f1428e}

这里要看文件的十六进制预览出来是一堆乱码

50.[填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

产品id 取证大师直接可以查看

51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)

A. 该图片是由 “https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU”下载的

B. 该图片经过加密

C. 该图片于2021-09-30 下载

D. 该图片是由GIF档转换成PNG檔

浏览器下载记录找到图片下载的记录

进入其路径找到图片

分析图片信息

a项正确

这个题目最快的方法直接把答案放到取证大师当中搜索。

52.[填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

office安装文件里面有个key文件

53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

A. Docker

B. Chrome

C. FileZilla

D. TeamViewer

54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

A. Material1

B. Material2

C. Material3

D. Staff1

E. Staff2

F. Staff3

逐一搜索也可以找到

搜索了其中的一个文件然后直接来分类里面找正好找到

55.[填空题] 在阿力士FTP服务器中，文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)

需要熟悉linux命令 777表示权限等级

Dangerous_Project

56.[填空题] 在阿力士FTP 服务器建设后，有___1___个额外用户被加入 (请以阿拉伯数字回答) (2分)

只添加了一个用户 wai

57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

A. 无线 , 公开

B. 无线 , 私人

C. 有线 , 公开

D. 有线 , 私人

查看网络连接信息将其翻译一下这两个表示有线连接英特网再根据这个IP地址分析可以知道是一个公网ip

58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)

找到pure这个命令的配置文件

50个

59.[填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格) (2分)

stilliard/pure-ftpd

需要熟悉 docker的命令 docker拉取镜像的命令 pull 后面是拉取的镜像名

60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

A. linux-headers-5.11.0-16

B. linux-headers-5.11.0-17

C. linux-headers-5.11.0-36

D. inux-headers-5.11.0-37

E. linux-headers-5.11.0-40

这个题直接仿真 uname -r 就可以看到比较简单这里我的仿真软件不能用了用的另一种方法

用 x-way加载镜像可以看到相关信息

61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

A. FAT16

B. FAT32

C. ExFAT

D. HFS+

E. Ext4

直接用xway加载镜像就可以看到

62.[填空题] 阿力士FTP服务器用户输入了指令____docker container ps -a_________去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)

熟悉docker的命令 ps -a 检查现存容器

2021年美亚杯资格赛解析相关推荐

2017年美亚杯资格赛个人赛 writeup
2017年美亚杯资格赛
2019年美亚杯资格赛个人赛 writeup
2019年美亚杯资格赛文章目录 2019年美亚杯资格赛 win2 内存镜像 win2 内存镜像
2021美亚杯资格赛
第一次参加美亚杯,早上的资格赛出了点意外,导致一名队友未进入下午团队赛,最后只剩两个人做团队赛,导致后面有几个镜像没来得及做.第一次写WP,记录一下的思路 1. [单选题]工地主管电话的微信账号是什么 ...
2021年美亚杯个人赛复盘
"美亚杯"第七届中国电子数据取证大赛本次比赛共1 个段落, 62 个小题, 总共114分 "美亚杯"第七届中国电子数据取证大赛试题 (62个小题, 共114分 ...
2021年美亚杯个人资格赛（记录第一次的取证之旅）
1. [单选题]工地主管电话的微信账号是什么? (1分) A. Kasier751111 B.Kasierlee751111 C. Kasierlee D.以上皆非找了一圈发现没有与WeChat相关 ...
2020第六届美亚杯资格赛个人题解yhz
1.Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值? A:9A3040D8DE7DB364AA383F9904C446B2; B: ...
2021美亚杯（个人赛）练习记录
因为当时没有参加比赛,用的奇哥给的镜像和参考答案,然后自己重新做了一遍,记录一下自己的思路(我自封大娘级记录,保姆级懂吧). 指路奇哥(奇哥带好人 (๑•̀ㅂ•́)و✧):2021第七届美亚杯中国电子 ...
2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解，软件就用弘连和美亚，尽量写的细致一点。建议入门看，仅为了解题，没有专业精神。专业选手去看后面推荐的两篇解析，都是大佬。
建议新手看我的博客,比较简单粗暴,解题率较低,仅仅是为了比赛,入门的同学可以看看.我的水平还很糟糕,之后会努力学习,所以这篇博客也会不断修改完善.博客还有很多不当之处,如有发现不当之处请私信我,我会做 ...
2021美亚杯个人赛记录
一.检材 1.案件背景个人赛 2021年10月某日早上,本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知.考虑到高速公路的基建安全 ...

2021年美亚杯资格赛解析

检材情况和案情

需要用到的工具：

感想

wp

路由器日志分析

阿力士iPhone 12 pro分析

阿力士的iPhonexr

2021年美亚杯资格赛解析相关推荐

最新文章

热门文章